缺乏安全API可引發IaaS風(fēng)險

缺乏安全API可引發IaaS風(fēng)險

        IaaS的數據安全風(fēng)險對(duì)企業遷移到(dào)雲來(lái)說是一個長期存在的問題，然而有一些(xiē)特定的問題需要我們時(shí)刻留意。

        把數據、系統和(hé)應用(yòng)放(fàng)到(dào)雲環境中的風(fēng)險已經是衆所周知(zhī)的事(shì)情。現(xiàn)今像雲安全聯盟(CSA)這(zhè)樣的組織一直描述各種雲部署模型中存在的風(fēng)險，并在 2015年5月發表題爲“IaaS雲存在的錯誤可能(néng)讓你(nǐ)的數據處于危險之中”的文(wén)章，Symantec描述了(le)一些(xiē)可能(néng)對(duì)基礎設施及服務(IaaS)雲服務的客戶産成風(fēng)險的主要領域。在一次采訪中，亞馬遜Web服務的資深安全項目經理(lǐ)Bill Murray表示關于雲安全最大(dà)的擔憂是，客戶沒有把基本的安全最佳實踐應用(yòng)到(dào)他(tā)們部署和(hé)管理(lǐ)的IaaS資産中。這(zhè)與Symantec的研究結果相一緻，該結果發現(xiàn)16000個已經發現(xiàn)的雲域中有0.3%的域文(wén)件夾結構很(hěn)容易被猜到(dào)，其不僅可以被訪問，而且還導緻11000個文(wén)件，包含如信用(yòng)卡交易、用(yòng)戶名和(hé)密碼、電子郵件地址的敏感數據對(duì)任何人都可讀。研究人員還發現(xiàn)了(le)一些(xiē)洩露的可訪問的密碼憑證，其中有些(xiē)被硬編碼到(dào)應用(yòng)程序中。

        Symantec在雲安全研究中發現(xiàn)的首要問題包括接口API、共享資源、數據洩露、惡意的内部人員和(hé)錯誤配置的問題。所有這(zhè)些(xiē)都和(hé)CSA的報(bào)告 “臭名昭著的九條：2013年雲計(jì)算(suàn)主要威脅”所描述的問題一緻。Symantec在研究中發現(xiàn)了(le)這(zhè)些(xiē)數據安全風(fēng)險的具體事(shì)例，不過，在組織實施和(hé)評估雲服務的今天，應該提供一些(xiē)“發人深思的東西”。

        提防不安全的API

        Symantec報(bào)告的一個核心主題是，許多最嚴重的IaaS風(fēng)險很(hěn)大(dà)程度是由于雲管理(lǐ)員對(duì)操作(zuò)系統，應用(yòng)程序和(hé)雲管理(lǐ)界面的錯誤配置或缺乏安全控制。列出的第一個主要風(fēng)險是缺乏安全的API，這(zhè)些(xiē)API是由雲提供商提供以允許用(yòng)戶與他(tā)們的服務以及服務管理(lǐ)更無縫的集成。盡管提供商負責提供安全的 API和(hé)補丁，客戶應該自(zì)己對(duì)這(zhè)些(xiē)API進行評估，包括支持的傳輸方法以及什(shén)麽樣的數據在與供應商的交互過程中被來(lái)回發送。API或應用(yòng)程序的更新很(hěn)容易導緻兼容性問題，甚至也(yě)可能(néng)引發數據洩露的場景，因此客戶應該定期測試他(tā)們的程序和(hé)API交互的部分。

        雲提供商的責任

        當然雲用(yòng)戶本身無法完全減輕内部人員威脅，雲提供商必須監控所有的活動和(hé)實現(xiàn)可靠的職責和(hé)權限管理(lǐ)流程控制的分離。該報(bào)告明(míng)确提到(dào)将加密密鑰存儲到(dào)雲裏，那裏惡意的内部人員有可能(néng)訪問到(dào)這(zhè)些(xiē)密鑰。虛拟化管理(lǐ)程序的漏洞也(yě)存在同樣的問題--用(yòng)戶無法查看(kàn)虛拟機管理(lǐ)程序的配置或控制，因此供應商将需要對(duì)虛拟化平台和(hé)工(gōng)具相關的補丁和(hé)新缺陷更加細心。大(dà)多數雲供應商也(yě)有對(duì)分布式DDoS攻擊的強力控制，以及對(duì)數據丢失的控制。但(dàn)是，用(yòng)戶沒有對(duì)雲帳戶口令的訪問控制權或無法監控IaaS日志來(lái)查看(kàn)非法活動或者帳戶使用(yòng)的情況。攻擊者正在黑市上(shàng)以每個7到(dào)8美(měi)元的價格販售雲服務帳戶。

        防禦IaaS攻擊

        Symantec的報(bào)告中描述了(le)各種不同的針對(duì)IaaS環境的攻擊，包括存儲枚舉，洩露的訪問令牌等。建議(yì)雲客戶要在選定IaaS前徹底調研雲服務提供商的安全控制和(hé)服務水(shuǐ)平協議(yì)。客戶應盡可能(néng)利用(yòng)多因素身份驗證，對(duì)數據進行加密以減少内部威脅，維護密鑰的控制權，并開(kāi)始比以往任何時(shí)候都更關注在雲環境中的可用(yòng)日志。定期掃描基于雲的系統漏洞也(yě)是一個最佳做法。

（聲明(míng)：文(wén)章來(lái)源于網絡，不代表本站(zhàn)觀點及立場，版權歸原作(zuò)者及原出處所有，若有侵權或異議(yì)請(qǐng)聯系更正或删除。）